Jora_Cornev Posted February 13, 2019 (edited) Хочу одним правилом на киске закрыть доступ к 22 порту ip access-list extended DENY_SSH deny tcp any 172.17.0.0 0.0.255.255 eq 22 permit ip any any Для десятка sub-интерфейсов вида: Скрытый текст interface GigabitEthernet0/3.101 ip address 172.17.1.1 255.255.255.0 ip access-group DENY_SSH in no ip redirects no ip unreachables no ip proxy-arp ip ospf flood-reduction ntp disable no cdp enable interface GigabitEthernet0/3.102 ip address 172.17.2.1 255.255.255.0 ip access-group DENY_SSH in no ip redirects no ip unreachables no ip proxy-arp ip ospf flood-reduction ntp disable no cdp enable ===========/////============= interface GigabitEthernet0/3.111 ip address 172.17.11.1 255.255.255.0 ip access-group DENY_SSH in no ip redirects no ip unreachables no ip proxy-arp ip ospf flood-reduction ntp disable no cdp enable Но по неведомой мне причине правило не работает ... Edited February 13, 2019 by Jora_Cornev Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
EvgeniySerb Posted February 13, 2019 Пакеты точно не с другой стороны приходят ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Jora_Cornev Posted February 13, 2019 (edited) Абсурда ради я и на OUT тоже вешал, но результат тот же, не работает. Edited February 13, 2019 by Jora_Cornev Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
EvgeniySerb Posted February 14, 2019 2 hours ago, Jora_Cornev said: Абсурда ради я и на OUT тоже вешал, но результат тот же, не работает. Я не про это , ещё есть интерфейсы на этом маршрутизаторе ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
god_of_ethernet Posted February 14, 2019 (edited) @Jora_Cornev если вы правило на IN вешаете, то меняйте местами source и destination, а ваше правило можете на OUT повешать вход ip access-list extended DENY_SSH_IN deny tcp 172.17.0.0 0.0.255.255 any eq 22 permit ip any any выход ip access-list extended DENY_SSH_OUT deny tcp any 172.17.0.0 0.0.255.255 eq 22 permit ip any any Edited February 14, 2019 by god_of_ethernet Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ikiliikkuja Posted February 14, 2019 (edited) 38 минут назад, god_of_ethernet сказал: @Jora_Cornev если вы правило на IN вешаете, то меняйте местами source и destination, а ваше правило можете на OUT повешать вход ip access-list extended DENY_SSH_IN deny tcp 172.17.0.0 0.0.255.255 any eq 22 permit ip any any выход ip access-list extended DENY_SSH_OUT deny tcp any 172.17.0.0 0.0.255.255 eq 22 permit ip any any поправлю ip access-list extended DENY_SSH_OUT deny tcp any eq 22 172.17.0.0 0.0.255.255 Edited February 14, 2019 by ikiliikkuja Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted February 14, 2019 в первом посте все правильно. за исключением направления. OUT нужно. и тогда будет заблочен трафик к 22ому порту всего, что попадает в 172.17.0.0 0.0.255.255 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Jora_Cornev Posted February 14, 2019 интересно послушать мнение общественности, какое правило меньше грузит CPU: deny tcp any eq 22 172.17.0.0 0.0.255.255 или deny tcp any 172.17.0.0 0.0.255.255 eq 22 15 часов назад, EvgeniySerb сказал: Я не про это , ещё есть интерфейсы на этом маршрутизаторе ? Есть, но они не сморят в сторону пользователей. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
god_of_ethernet Posted February 15, 2019 11 часов назад, Jora_Cornev сказал: интересно послушать мнение общественности, какое правило меньше грузит CPU тут не в CPU дело, трафик на OUT это будут ответы от ssh сервера к хостам, следовательно надо матчить 22 порт с source.ip @ikiliikkuja все правильно подметил. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted February 15, 2019 а что за роутер то ? может ацл на нем вовсе не грузит цпу Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Jora_Cornev Posted February 15, 2019 7206 NPE-G2 5 часов назад, zhenya` сказал: может ацл на нем вовсе не грузит цпу Вопрос конечно больше теоретический, цель которого сделать всё по фэншую Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted February 15, 2019 Тогда на том направлении, где меньше pps Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Jora_Cornev Posted February 15, 2019 не понял вашей мысли? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Butch3r Posted February 15, 2019 72 кошка софтовая Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted February 15, 2019 Капитан очевидность подсказывает, что чем меньше пакетов нужно проверить списком доступом тем лучше. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
tehavto Posted March 7, 2019 Если доступ нужно ограничить только на этот роутер: line vty 0 4 access-class DENY_SSH in end Или надо зарубить SSH везде и для всех? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted March 7, 2019 Он пытался закрыть в сторону хостов за роутером. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
